drupal-6.30-1.AXS3

エラータID: AXSA:2014-234:01

リリース日: 
2014/04/10 Thursday - 18:57
題名: 
drupal-6.30-1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Drupal の OpenID モジュールには,リモートの OpenID ユーザが他のユーザとして認証される脆弱性があります。(CVE-2014-1475)

- Drupal の form API は不特定のサードパーティーのモジュールと使用された場合,クロスサイトリクエストフォージェリ (CSRF) 検証が失敗した場合でもフォーム検証を行い,アプリケーションに固有の要因によって,任意のコードを実行するような,リモートの攻撃者がアプリケーションに固有の影響を及ぼす脆弱性があります。(CVE-2013-6385)

- Drupal は乱数を生成するのに PHP の mt_rand 関数を用いており,このことによって,予見できる種を使用し,リモートの攻撃者がセキュリティ文字列を予見し,ブルートフォースアタックによって,意図された制限を回避する脆弱性があります。(CVE-2013-6386)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2014-1475
The OpenID module in Drupal 6.x before 6.30 and 7.x before 7.26 allows remote OpenID users to authenticate as other users via unspecified vectors.
CVE-2013-6385
The form API in Drupal 6.x before 6.29 and 7.x before 7.24, when used with unspecified third-party modules, performs form validation even when CSRF validation has failed, which might allow remote attackers to trigger application-specific impacts such as arbitrary code execution via application-specific vectors.
CVE-2013-6386
Drupal 6.x before 6.29 and 7.x before 7.24 uses the PHP mt_rand function to generate random numbers, which uses predictable seeds and allows remote attackers to predict security strings and bypass intended restrictions via a brute force attack.




追加情報: 

N/A

ダウンロード: 

SRPMS
  1. drupal-6.30-1.AXS3.src.rpm
    MD5: 9fca0f7a81b112417795b97445f2060f
    SHA-256: 46764f07f3a48b432da10411751cb41651be83ec336684f052ea680963369216
    Size: 1.90 MB

Asianux Server 3 for x86
  1. drupal-6.30-1.AXS3.noarch.rpm
    MD5: 3a9c4989d5750bfaf70af45ca47f3d4a
    SHA-256: a0ca4abe0c0a4588f118e6b8befad3a65e4735043d624a91cfec47023b6a8c96
    Size: 1.89 MB

Asianux Server 3 for x86_64
  1. drupal-6.30-1.AXS3.noarch.rpm
    MD5: ac903b8c122052b12e30cdceb20689fe
    SHA-256: a72cca4079bf8a6b48411b690bf38585700be1a94c1f001b3f2cf86eca287fed
    Size: 1.89 MB